Heute Nachmittag war ich als Experte zu Besuch im Bundesministerium der Justiz in Berlin – Ziel: Änderung des nationalen Cyberstrafrechts für mehr Cybersicherheit durch Rechtssicherheit für IT-Sicherheitsforscher:innen. Mein Vorschlag: Verankerung eines rechtsklaren Tatbestandsausschlusses, soweit sich Forscher:innen nach CVD-Policies richten. Dies entspricht auch den Vorgaben der ENISA, dass sich IT-Sicherheitsforscher:innen rechtmäßig verhalten, soweit die vorgegebenen CVD-Regeln eingehalten werden. Kein Sinn hingegen macht es, an das Kriterium des „besonderen Zugriffsschutzes“ anzuknüpfen, denn damit kann noch nicht einmal die deutsche Gerichtsbarkeit vernünftig umgehen, wenn in der „Modern Solution“-Entscheidung festgestellt wird, dass die Dekompilierung von Objektcode in den Quellcode bereits die Überwindung einer besonderen Zugangssicherung vergleichbar mit einem Passwortschutz darstellt. Auch keinen Sinn macht es, die Nichtverfolgung von Straftaten ausschließlich an die „gutgläubige Sicherheitsforschung“ anzuknüpfen – denn damit kann man in der Praxis nicht viel anfangen und das hilft im Vorfeld keinem weiter. Last but not least noch ein wichtiger Hinweis: Die Reform des deutschen Cyberstrafrechts hat auch sehr viel mit dem Umbau der nationalen Cybersicherheitsarchitektur aka „Unabhängigkeit des BSI“ zu tun, denn es stellt sich auch die Frage, an wen sich IT-Sicherheitsforscher:innen mit gefundenen Schwachstellen vertrauensvoll wenden können. Deshalb ist es notwendig, dass in der Sache BMJ und BMI möglichst eng zusammenarbeiten, um zeitnah zu praxisgerechten und rechtssicheren Lösungen für alle zu gelangen.
#hackerparagraf #modernsolution #cybersecurity #bsi #cvd #denniskenjikipker